歡迎光臨
每天分享高質量文章

每日安全資訊:Mozilla 為 Firefox 上周的 bug 致歉 | Linux 中國

現在,我們已經知道附加組件遇到的故障,源自安全證書方面的 bug 。

— 安華金和

 

作者:安華金和

由於 Mozilla 方面的一個失誤,導致許多 Firefox 用戶在上周末遇到了附加組件無法使用的 bug 。後來該公司發佈了更新,才讓瀏覽器恢復正常。對於此事,這家機構現已發表正式道歉,詳細解釋發生了怎樣的事情,且承諾會刪除期間為了推出修複程式而收集的私人資料。據悉,為了修複 bug,Firefox 初期希望用戶啟用遙測選項。因為在預設的情況下,其出於隱私考量而禁用了此類資料收集選項。

現在,我們已經知道附加組件遇到的故障,源自安全證書方面的 bug 。在 Mozilla Hacks 的一篇博客文章中,首席技術官 Eric Rescorla 已經給出了詳細的解釋。

Joe Hidebrand 在另一篇文章中寫到:

我們在努力為 Firefox 帶來極棒的體驗,但可惜上周遭遇了失敗,對此我們深表歉意。

過去幾年,我們花費了很多時間,來思考如何將附加組件(Add-ons)變得更加安全。然而鑒於附加組件的功能是如此的強大,我們也必須努力構建和部署一套系統,以免用戶遭受惡意附加組件的侵擾。

至於上周的問題,其實源自防護系統中的一項錯誤部署—— 保險樣式導致附加組件被禁用了。

儘管我們認為這套機制的基本設計原則是合理的,但仍會努力改進該系統,以防將來再次發生類似的問題。

此外,Hildebrand 還向關註 Firefox 最初“緊急修複”時段收集私人資料一事的網友們保證:

為儘快解決這個問題,我們曾呼籲用戶開啟遙測選項,以獲取附加信息。

不過在 5 月 8 日 23:28 分的 Firefox 附加組件博客上,我們宣佈已經不再需要開啟遙測選項,所以請大家根據自己的真實意願來選擇是否退出。

為盡可能地尊重用戶,Mozilla 決定刪除 5 月 4 日 11:00 到 5 月 11 日 11:00 期間手機的所有用戶的遙測與研究資料。

最後,Mozilla 表示將會披露與本次事件有關的更多細節,感興趣的朋友可以留意後續發佈的報告。

更多資訊

涉及 2.75 億條印度公民信息的 MongoDB 資料庫被曝光和公開索引

援引外媒Security Discovery報道,他們於5月1日發現了一個未經保護和公開索引的MongoDB資料庫,其中包括了涉及印度公民的個人身份信息的275,265,298條記錄。這些信息中包括姓名、電子郵件地址、性別、教育水平和專業領域、專業技能和職稱、手機號碼、就業經歷和當前雇主、出生日期以及當前的薪資水平。

來源: cnBeta.COM

詳情: http://www.dbsec.cn/zx/20190511-5.html

研究人員披露黑客入侵了三家美國殺毒軟體公司

Advanced Intelligence (AdvIntel) 公司的研究人員透露,名叫 Fxmsp 的組織正在積極銷售三家美國殺毒軟體公司的原始碼和網絡訪問。它提供了樣本作為證據證明其宣告是有效的。AdvIntel 的研究總監 Yelisey Boguslavskiy 稱他們已經通知了相關公司和美國執法機構。在安全社區 Fxmsp 已經是名聲在外,該組織在今年三月透露它能提供美國三家頂級殺毒軟體公司的獨有信息。它在地下黑客市場銷售這些公司軟體開發的原始碼和網絡訪問,開價超過 30 萬美元。

來源: solidot.org

詳情: http://www.dbsec.cn/zx/20190511-3.html

惡意差評案件多發 侵蝕網絡營商環境亟待立法規制

傳統的網絡評價機制亟待改進,以優化網絡營商環境。近日在杭州互聯網法院落槌的一起民事案件,將這一問題再次提上議事日程。在這起案件中,7 名 90 後組成的差評師團夥被判決賠償阿裡經濟損失 8 萬餘元、合理支出 4 萬餘元。而這已經是他們因同一件事情所受到的第二次懲罰。

此前,深圳市龍華區法院以敲詐勒索罪對他們分別判處 7 個月至 2 年不等的刑期。這意味著因為惡意差評,這一團夥遭到刑事民事的“雙殺”。

來源: 法制日報

詳情: http://www.dbsec.cn/zx/20190511-2.html

美國巴爾的摩市政網絡遭勒索軟體攻擊

美國巴爾的摩市政網絡 5 月 7 日遭勒索軟體攻擊後下線。攻擊沒有影響警察、消防和緊急反應系統,但市政府的其它部門都在某種程度上受到衝擊。市政府的首席信息官 Frank Johnson 在新聞發佈會上證實,攻擊他們的勒索軟體是 RobbinHood。

逆向工程 RobbinHood 樣本的安全研究人員 Vitali Kremez 稱,惡意程式在一個系統只針對檔案,不會通過網絡共享傳播。這意味著惡意程式是逐個的部署到機器上的,攻擊者需要在部署前已經獲得了網絡的管理級別的訪問權限。

市長 Bernard “Jack” Young 表示, IT 部門有備份,但無法簡單的替換備份。他說他不希望人們認為他們沒有備份。

來源:solidot.org

詳情: http://www.dbsec.cn/zx/20190511-1.html

赞(0)

分享創造快樂